是否有可能使ASP.NET MVC变化AntiForgeryToken值每个验证后？

Question

我们刚刚有一些渗透测试上，我们已经使用ASP.NET MVC构建的应用程序进行，那回来的建议之一是，AntiForgeryToken在表格的价值可能被重新提交多次，在单次使用后不到期。

按照 OWASP建议的周围的同步标记模式：

“一般来说，开发人员只需要为当前会话产生此令牌一次。”

这是我怎么想的ASP.NET MVC AntiForgeryToken工作。

在情况下，我们不得不投入战斗，是有可能导致AntiForgeryToken每个验证后重新生成新的价值？

Answer 1

在防伪标记仅仅是一个反XSRF令牌。特别是，它是的不单次使用随机数。如果你需要一个一次性使用的随机数为您的应用程序，您不能使用防伪标记用于此目的。有没有内置的功能这一点。

Answer 2

也许你可以使用三个参数的构造函数使用AntiForgeryToken

使用盐始终建议，也限制由域和路径令牌将让您的令牌更安全和每个网页唯一的。

如果您没有XSS漏洞这个问题是不会在你的网站弄得一塌糊涂：） //难道我写这篇文章？当然我没有读好这个问题。

干杯！